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摘 要 : 针对 软件 定义 网 络 中 DDoS 攻击 的 检测 准确 率 与 延迟 较 长 的 问题 ， 提 出 了 一 种 基于 核 池 数 的 软件 定义 网 络 
DDoS 实时 安全 系统 。 首 先 ， 每 个 周期 提取 软件 定义 网 络 的 报 文 头 信 息 ， 并 组 织 成 给 阵 形 式 ; 其 次 ， 采 用 马 色 距离 
分 析 相 邻 特 征 向 量 的 显著 变化 ， 设 计 了 两 个 核 函 数 综合 评估 攻击 行为 的 流量 ; 最 终 ， 采 用 谱 聚 类 技术 与 协 方 差 统 计 
信息 自动 地 定位 攻击 者 。 基 于 真实 软件 定义 网 络 进行 了 实验 ， 结 果 显 示 该 安全 系统 实现 了 较 高 的 检测 准确 率 ， 并 且 
实现 了 理想 的 处 理 时 间 。 
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Real time DDoS security system of software definition networks based on kernel functions 


Liu Min, Teng Hua, He Xianbo 
(Computer Academy, China West Normal University, Nanchong Sichuan 637009, China) 


Abstract: Aiming at the problems of log detection accuracy and long delay of DDoS (Distributed Denial-of-Service) attacks 
Re ~ in the software definition networks, This paper proposed a real time DDoS security system of software definition networks 
i based on kernel functions. Firstly, it abstracted the packet header fields of software definition networks periodly, and formed 
the abstracted information as matrices; then, it adopted the Mahalanobis distance to analyze the significant change of 
continuous feature vectors, and it designed two kernel functions to evaluate the behavior flows of attacks; lastly, the 
attackers are identified by the Spectral clustering technique and the covariance statistical information. Experimental results 
based on the real software definition networks show that the proposed security System realizes a good detection accuracy， 
and performs a reasonable processing time. 
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0 ”引言 进行 了 分 析 ， 基 于 流量 的 统计 分 析 方 法 一 般 检 测 效 果 较 好 ， 
区 但 是 计算 效率 较 低 ; 而 基于 SDN 报 文 头 特征 的 分 析 方法 计算 
DDoS(distributed denial of service) 攻 击 是 当前 互联 网 中 效率 较 高 ， 但 是 检测 的 准确 率 较 低 。 
最 为 常见 的 攻击 行为 趾 。DDoS 的 实现 简单 ， 并 且 实 现 的 成 DDoS 攻击 可 能 导致 整个 网 络 竣 痪 ， 所 以 需要 在 初期 就 
本 低 ， 因 此 在 各 种 类 型 的 网 络 中 DDoS 均 为 一 个 重要 的 威胁 ”能 识别 出 DDoS 流量 ， 以 防止 DDoS 造成 更 大 的 破坏 外 。 为 
CC 汪 。 软 件 定义 网 络 (software defined networking, SDN) 实 现 了 了 在 保证 DDoS 安全 系统 检测 准确 率 的 前 提 下 保持 较 快 的 处 
网 络 控制 与 数据 分 离 的 思想 ,支持 高 度 的 开放 性 与 可 编程 性 理 速度 ， 设 计 了 一 种 基于 核 函 数 的 软件 定义 网 络 DDoS 实时 
但 是 安全 问题 限制 了 SDN 在 诸多 场景 下 的 大 规模 部 署 与 及 安全 系统 。DDoS 攻击 的 出 现 往往 伴随 着 流量 模式 的 剧烈 变 
用 。SDN 的 安全 机 制 主要 可 分 为 六 种 类 型 中 ，a)SDN 安全 化 ， 所 以 本 系统 将 消息 流 特征 的 明显 变化 作为 一 个 潜在 的 
制 器 ; b) 可 组 合 的 安全 模块 库 ; c) 控 制 器 的 DoS、DDoS 攻 DDoS 攻击 。 目 前 主流 的 DDoS 安全 系统 主要 检测 出 DDoS 
防御 系统 ; d) 流 规则 的 合法 性 与 一 致 性 检测 ;，e) 北 向 接 攻击 的 流量 ， 无 法 定位 攻击 源 ， 而 本 系统 能 够 检测 出 DDoS 
安全 性 ; 了 应 用 程序 的 安全 性 。 其 中 DDoS 攻击 直接 导致 攻击 行为 ， 并 且 识 别 出 攻 击 者 。 本 系统 属于 无 监督 方法 ， 利 
络 瘫痪 ， 对 SDN 的 危害 极 大 外。 用 观察 的 消息 流量 类 型 与 数据 量 ， 并 不 需要 额外 的 信息 。 
文献 [5] 利 用 GHSOM 技术 ， 设 计 了 基于 对 象 特征 的 1 ”问题 模型 
DDoS 攻击 检测 方法 。 该 方法 结合 SDN 网 络 及 攻击 特点 ， 提 人 
出 基于 目的 地 址 的 检测 七 元 组 ， 并 以 此 作为 判断 目标 地 址 是 “1.1 软件 定义 网 络 的 OpenFlow 模型 
否 受到 DDoS 攻击 的 检测 元 素 。 文 献 [6] 提 出 了 一 种 在 SDN 空 制 器 管理 所 有 的 路 由 决策 ， 通 过 OpenFlow 交换 机 的 
环境 下 基于 KNN 算法 的 模块 化 DDoS 攻击 检测 方法 ， 该 方 flow 表 完 成 每 个 报 文 的 转发 。 1 所 示 是 OpenFlow version 
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法 选取 SDN 网 络 的 五 个 关键 流量 特征 ， 采用 优化 的 KNN 算 1.3 协议 09 的 报 文 头 。 

法 对 选取 的 流量 特征 进行 流量 异常 检测 。 文 献 [7] 提 出 了 一 种 Ingress Ether | VLAN | VLAN 

i 5; a i a Ether src et ID priority IP_SRC | IP_dest Piotocal Src port | Dest port 
控制 器 的 DDoS 检测 系统 , 该 系统 首先 将 端口 的 流 事件 分 类 ， 

使 用 序 贯 概率 比 检验 (sequential probability ratio test, SPRT) 检 图 1 OpenFlow version 1.3 协议 的 报 文 头 

测 流量 是 否 为 异常 。 文 献 [8] 对 几 类 SDN 的 DDoS 安全 系统 Fig.3 Message header of OpenFlow version 1.3 protocal 
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图 2 所 示 是 OpenFlow 报 文 的 处 理 流 程 。 


流量 到 达 交 
报 文 头 | 计数 器 | 数据 
换 机 2 
了 A 
分 析 报 文 头 一 天 | 分 析 报 文 头 
分 析 报 文 头 一 一 >| 分 析 报 文 头 
图 2 OpenFlow 报 文 的 处 理 流程 
Fig.2 Processing flow of openflow message 


1.2 软件 定义 网 络 的 DDoS 攻击 模型 
每 隔 一 个 周期 对 控制 报 文 进行 一 次 采样 ， 


表示 为 f=iAt， 
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= 
态 向 量 ， 


本 文采 ) 


区 为 特征 向 量 


Xi 与 Xi 之 间 


间 长 度 为 月 窗口 的 特征 向 量 记录 。 
上 述 特 征 向 量 不 包含 时 间 惟 信息， 假设 第 


这 些 特 征 向 量 (服务 器 状态 向 量 ) 监 控 软件 
定义 网 络 的 流量 变化 ,假设 M 为 一 个 dxd 的 正定 矩阵 , Dm(xi， 
的 距离 ，M 表示 尺度 矩阵 。 
Mxn:xnx0) 为 一 个 关于 M 的 函数 ,定义 为 xrel 到 xn 之 间 ( 时 
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r 个 用 户 、 消 


息 已 :的 时 间 惟 序列 为 岂 … 妈 ， 通 过 对 消息 指示 
向 量 引入 时 间 愉 信息， 具体 方法 为 : 


示 带 时 间 惟 的 消息 指示 向 量 ， 
5 所 示 。 


wp eR 小 与 向 量 


Pp 

V, 
Pp 
1, 


图 5 增加 时 间 截 的 


W2 = 


r 


用 户 消 息 向 量 


向 量 增加 增 ) 


(w?) =((w) .22) 。w? 表 


v 的 关系 如 图 


将 该 时 段 的 样本 组 成 一 个 特征 向 量 。Af 表示 一 个 观察 时 段 ， Fig.5 Time-stamped user message vector diagram of serv 
监控 该 时 段 交 换 机 收 到 的 控制 报 文 。 在 At 的 结束 ,将 IP_SRC 可 将 任意 用 户 几 表 征 为 一 个 时 间 的 序列 ， 定 义 为 一 个 拢 
用 户 的 流量 表示 为 a 维 的 向 量 w， 其 中 4 为 各 种 流量 类 型 的 阵 : 和 =[W ww].|v2] 或 者 W=[wi|w?|...|w?] 。 采 用 核 函数 计 
数量 。 向 量 y 的 元 素 为 整 型 ， 元 素 对 应 了 第 i 时间 帧 。” 算 两 个 用 户 (wy, ww) 的 相似 性 ， 将 相似 性 表示 为 K(uy, wi)。 
((i-1)A<t<iA) 内 每 种 消息 类 型 的 出 现 次 数 。 x(w?,w%) 定义 为 相同 时 段 内 两 个 用 户 之 间 的 相似 性 ， 其 中 
段 设 第 r+ 个 用 户 在 观察 时 段 内 发 出 P; 个 消息 , 每 个 消息 w 表示 第 7 个 用 户 的 第 pr 个 消息 ，w% 表示 第 4 个 用 户 的 
的 计数 器 表示 为 wr ,p=1,.…,P;, 因此 观察 时 段 内 的 总 采样 信息 第 个 消息 。 最 终 可 计算 出 某 个 观察 时 段 内 |U|X|UI( 所 有 用 
| 光 4 在 
可 表示 为 w= 史 %,w ，vw 表示 第 + 个 用 户 发 送 的 计数 器 吞 阵 ， 站 各 知 诗 开 。 
i 2 ”基于 自 适应 距离 的 异常 监控 
在 一 个 平稳 过 程 中 消息 的 特征 应 当 具 有 高 度 的 统计 相似 
0 | 0 0 vi 性 ， 而 非 稳 态 过 程 的 两 个 特征 集 之 间 的 距离 较 大 。 因 此 检测 
0 1 0 0 yz, 消息 特征 距离 的 显著 变化 点 ， 对 采样 时 间 的 流量 进行 分 析 ， 
0 ee 检测 出 潜在 的 DDoS 攻击 行为。 
2.1 马 氏 距离 
上 | 假设 MeS, 为 一 个 dxd 的 对 称 半 正定 矩阵 ， 那 么 x 与 
之 间 的 马 氏 距离 Dw 计算 为 
y " " 2 Var Du(xi, X)=(Xi-X)) M(xi-x)) (1) 
M j j j 
Vv, yy VP vw V 全 秩 样本 协 方差 矩阵 的 逆 三 是 马 氏 距离 的 一 种 特殊 情 
: " ' " 况 ， 如 果 特 征集 服从 标准 的 高 斯 分 布 ， 可 得 M=Z=I。 对 称 半 
图 3 第 7 个 用 户 的 计数 器 矩阵 正定 矩阵 可 分 解 为 M=ATA, 因 此 A 为 一 个 eXd 的 投影 矩阵 ， 


Fig.3 Counter matrix of rth user 


假设 x 为 状态 向 量 ， 表 示 一 个 d 维 的 计数 向 量 ， 
户 的 协同 活动 次 数 。 


在 一 个 观察 时 段 内 |U| 个 用 


服务 器 端 所 有 


用 户 的 计数 器 向 量 之 和 定义 为 服务 器 状态 向 量 ， 计 算式 为 


Lal 


x=2v ， 如 图 4 所 示 。 
Wt Wig Wl Viol 
Val Wa v2. V2 dl 
V3,1 V32 V3 Vadol 
Va-1,l Va-12 Vd-1, Va-1,lul 
Val Va; Va, Valdl 
Vi Vy, TV Vo 


图 4 服务 器 状态 向 量 的 示意 图 


Fig.4 Diagram of server states Vector 


假设 xi 与 WeR4 分 别 表示 第 i、j 个 观察 时 段 的 服务 器 状 


可 获得 以 下 的 关系 式 : 
Du (Xi,Xj)= (Xi,X;) M(xX;,X,) 
=(X;,X))T ATA(x;,X,)) =(AGx,x))) A(x; 一 X 


=|a， -a 小 = D(ai,aj)= Da (Xi,Xj) 


其 中 :ai=Axi 为 投影 向 量 ; Dz 为 欧 氏 距离 
间 中 马 氏 距离 等 价 于 投影 空间 的 欧 氏 距离 。 


2.2 基于 距离 的 网 络 流量 模型 


通过 观察 滑动 窗口 的 距离 之 和 实 


让 (2) 


。 式 (2) 说 明 特征 空 


岗 对 网 络 流量 的 监控 ， 


该 距离 称 为 流量 的 移动 距离 , 将 滑动 窗口 之 和 与 闹 值 < 比较 ， 


决定 是 否 为 异常 流量 。 
为 一 个 关于 对 称 正 


Mn :we = 
/ 


个 大 小 为 大 的 窗 


er 


如 果 使 
FM 1 Rn: Xn )>emn, 那么 触发 一 个 警告 o 
马 氏 距离 ， 定 义 为 


每 个 


min FIOM :X11) + ADa(M, M1)+ BDa(™MD 


马 氏 距离 计算 的 移动 距离 高 ] 


口 移动 距离 可 定义 
定 和 矩阵 (MeS;:) 的 函数 ， 如 式 (3) 所 示 。 


(3) 


F 闪 值 <， 即 
周期 更 新 一 次 


(4) 


201901.00017V1 


chinaXiv 


录用 定稿 


其 中 : 第 2、3 项 为 正则 化 函数 , 该 函数 基于 对 数 行列 式 散 数 
实现 (LogDet)! i。LogDet 函数 可 估计 两 个 矩阵 之 间 的 距离 ， 
定义 为 : 


Di (M,M, 1) =1r MM) —log det(MIM1) —4d (5) 
其 中 ，zr(.) 为 矩阵 的 迹 函 数 。 
计算 式 (4) 的 导数 ， 可 获得 最 优 的 马 氏 和 矩阵 MD; 


(6) 


每 个 周期 重复 更 新 该 马 氏 和 矩阵。 算法 1 所 示 是 流量 改变 
的 检测 算法 。 
算法 1 自 适应 移动 距离 的 流 
1 初始 化 Mo; 
2 初始 化 参数 4,pb,a; 
3while (新 流量 ) { 
4 ”观察 窗口 (大 小 为 及 内 的 流量 ， 计 算计 数 器 向 量 ; 
5 if fMn 1Kn:xnt) > ef 
6 发 出 警告 ; 
7 
8 
9 


量 改变 检测 算法 


局 


并 


允许 恶意 用 户 检查 程序 ; 
} 
评估 Ms 
10 ”MI=M*#; 
11} 


2.3 ”移动 距离 的 阅 值 

根据 实验 分 析 , 移动 距离 之 和 的 分 布 可 近似 为 卡 方 分 布 。 
然后 从 高 斯 分 布 获得 马 氏 距离 ， 因 此 可 得 : j=xn，Z=M!。 
假设 y 是 当前 滑动 窗口 的 观察 集合 ， 如 果 y 是 一 个 服从 高 斯 
分 布 的 d 维 随机 向 量 ， 其 平均 向 量 为 nu， 协 方差 矩阵 为 达 ， 
将 z=(y-xn)TM(y-xn)=(y-4) TZ1(y-4) 转 换 为 自由 度 为 4 的 卡 方 
分 布 。 

假设 zi 表示 上 个 独立 同 分 布 的 随机 变量 ，zi 服 从 卡 方 分 
布 ， 如 如 ~Xav 如 ~XY24.… 有 ~Y24 。 根 据 独 立 卡 方 分 布 的 变量 
属性 , 随机 变量 之 和 服从 卡 方 分 布 , 其 自由 度 为 ditd2+.….+dk。 
体 可 表示 为 


Pe eo 还 一 pe (7) 
最 终 ， 异 常 流量 检测 模型 的 阔 值 为 2%= Xsxr， 其 中 a 表 
示 收 到 异常 流量 的 概率 。 将 正常 流量 情况 下 ， 移 动 距离 平均 
值 的 评分 表示 为 Z, Z 值 达 到 阔 值 &; 的 概率 为 a, a 值 根据 应 
用 场景 可 设 为 ae{0.1,0.05,0.02,0.01}。 
异常 流量 检测 模型 的 闵 值 计算 式 为 


m= (4) (8) 


其 中 : 为 时 间 窗 口 长 度 ; 4 为 向 量 维度 ; c 为 一 个 常量 。 
为 每 个 周期 地 观察 中 均 会 更 新 观察 量 之 间 的 马 氏 距离 ， 所 以 
本 系统 是 一 个 自 适 应 的 智能 安全 系统 。 


3 “判断 恶意 用 户 


如 果 一 个 异常 流量 为 一 个 DDoS 攻击 ， 那 么 需要 识别 恶 
意 用 户 的 集合 ， 从 而 防止 造成 分 布 式 攻击 。 观 察 周 期 内 每 个 
用 户 的 历史 行为 表示 为 一 个 时 间 序 列 ， 如 图 3 所 示 。 使 用 相 
性 函数 处 理 时 间 序 列 , 将 行为 相似 的 用 户 分 类 为 同一 个 组 。 
提出 了 两 种 攻击 判别 方法 : a) 基 于 全 局 的 时 间 序 列 对齐 核 ， 
计算 消息 序列 特征 之 间 的 距离 ，b) 在 观察 周期 结尾 提取 的 用 
户 消息 数量 向 量 。 
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3.1 时 间 序 列 对 齐 核 

本 文 考虑 上 长 度 窗口 内 的 带 时 间 惟 消息 ， 将 消息 表示 为 
时 间 序 列 格式 ， 即 (n-1),…,(n-1)。 每 个 用 户 的 序列 包含 不 同 
数量 的 消息 事件 ， 每 个 事件 发 生 的 时 间 点 不 同 。 本 文 的 目标 
是 基于 核 方法 计算 用 户 消息 之 间 的 相似 性 ， 首 先 需 要 将 消息 
队列 进行 对 齐 处 理 ， 不 同 长 度 消息 之 间 的 相似 性 较 低 ， 因 此 
同类 型 消息 的 相似 性 较 高 ， 不 同类 型 消息 的 相似 性 较 低 。 
假设 一 对 用 户 (wow xz) 的 带 时 间 改 消息 序列 为 (Wy，Wn)， 


段 设 W,=[w ww] 与 W=[w;1w?] 分别 


可 能 的 对 齐 情况 ,该 案例 共 


9 3 个 与 2 个 消息 


事件 。 图 6 所 示 是 Wa 与 W; 所 
有 5 个 对 齐 情况 ， 如 下 所 示 : 


D (WW) (Ww) (Www), (ww?) 
© (ww) (ww ), (ww?) 
© (Ww ) WW), Www?) (ww?) 
图 (ww (ws wy), (Wa,w?) 


© (Ww) wm) (mm) (Ww) 

文献 [12] 提 出 了 一 种 全 局 对 齐 核 ， 使 用 动态 规划 计算 两 
个 序列 的 相似 性 ， 本 文 基于 文献 [12] 的 算法 实现 ， 唯 一 的 修 
改 是 引入 马 氏 距离 。 


pa 1 
\W q 9» W 大 
a ss 
ze 1 分、 i 1 
\ ) \ 
we py Sa 
Se 
> /3 wl 
\W » Wy) gy 
TE < 7 
i 
a gq? W r p24 


图 6 Ws 与 W, 的 所 有 对 齐 情况 
Fig.6 Allaligned cases of Wyand W, 
3.1.1 全 局 序列 对 齐 核 
给 定 两 个 用 户 (ug，u) 的 两 个 消息 序列 W=[w wl…|we] 


与 W,=[wi|w|.…|w?] ， 假 设 其 状态 空间 为 Q， 设 计 一 个 二 维 
数组 Tpg,Ppr 保存 二 维 序 列 ? 其 中 TPpg,0=0(pg=1 5 Pa), To, 
Pr=0(p;=1,.…,Pn)，7To00=0。 假 设 存在 一 个 函数 可 度量 用 户 ug 与 


ur 之 间 消 息 事 件 的 相似 性 , 设 为 <(w%,w#) 。 因 此 可 通过 递归 


方法 计算 出 Tpg,pi: 


Tp = (Dp tT pi tT )K(wh, we’ ) (9) 


最 终 可 获得 两 个 用 户 (wg, 中 之 间 相 似 性 未 正则 化 的 结 
果 ， 如 式 (10) 所 示 。 


Kmormea (Ug»U; ) = Top (10) 


获得 每 对 用 户 的 核 矩 阵 之 后 ， 为 了 解决 尺度 不 统一 的 问 
题 ， 对 |wlx|Qwl 核 矩阵 进行 单位 对 角 正 则 化 处 理 ， 其 中 | 忆 表 示 
系统 中 活动 用 户 的 数量 。 单 位 对 角 正 则 化 的 方法 如 式 (11) 
所 示 。 
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天) 


9 
Komea (Ug» Ug )N Kmormea (UU, ) 


K(u,,u,) [0,1] 


将 上 述 核 矩阵 称 为 时 间 序 列 核 。 


3.1.2 核 函 数 
一 个 窗口 


内 的 每 个 用 


(11) 


户 可 表征 为 带 时 间 翼 的 消息 序列 ， 


用 户 消息 序列 包括 了 不 同 的 长 度 与 不 同 的 消息 类 型 。 


假设 两 个 带 时 间 规 的 向 量 


(wr) =((ve) ,tp) 


为 (w) =((w 


， 两 个 向 量 的 核 函 数 定义 为 


(wwp)=exp(-7Dy (vsvp) -pl -PD) 


Da (vhsve)= (ve ve) M(vo, ve) 


其 中 : M 为 式 (6) 的 马 氏 和 矩阵。 如 果 vww=vr 并 且 交 


) ,如 ) 与 


(12) 


=tr" ， 可 


得 <(wys,wz)=1。 系 数 ? 与 P 分 别 为 消息 距离 与 时 间距 离 的 权 


IN 


3.2 用 户 距离 核 


基于 马 氏 距离 计算 用 
距离 越 接 近 0， 那 么 
越 低 ， 马 氏 距 离 核 可 视 为 一 种 高 
的 消息 计数 向 量 vwveR4， 比 较 两 个 用 


， 本 文 假设 两 者 相等 y=p=1。 


户 之 间 


K(u,u,) =exp(-(v, -Vv,) M(v, -v,)) 


将 式 (13) 的 核 简 称 为 距离 核 ， 如 果 ve=vw， 那 


的 相似 性 核算 阵 ， 如 果 马 氏 
个 用 户 的 相似 性 越 高 ， 反 之 则 相似 性 
斯 核 的 特殊 情况 。 基 于 用 户 
户 ug 与 wr 的 相似 性 : 


(13) 


么 K(ua, 


Zr)=]1， 该 特征 向 量 


该 窗口 内 用 
3.3 谱 聚 类 算法 


式 (11)(13) 两 式 中 计算 了 用 户 之 间 相 似 性 的 核 矩 
阵 K 可 表示 为 一 个 全 连接 的 加 权 邻 接 图 ， 
户 ， 边 表示 相似 性 。 邻 接 和 矩阵 应 当 可 分 为 恶意 用 户 与 合法 用 
户 两 个 子 图 。 使 用 拉 普 拉 斯 谱 聚 类 算法 将 邻接 图 分 类 ， 该 方 


户 的 消息 特征 。 


未 包含 消息 的 时 间 惟 信息， 仅仅 评价 了 


阵 玫 , 拢 


现 


中 顶点 表示 用 


法 可 将 相似 的 节点 分 为 同一 类 ， 同 时 


保证 不 相似 节点 彼此 远 


离 031。 
将 第 9 个 活动 用 户 核 矩 阵 的 元 素 之 和 定义 为 该 用 户 的 
度 ， 那 么 一 个 给 定 窗 口中 第 g 个 活动 用 户 的 度 定 义 为 
dg = Sk, (14) 
其 中 : K,,=K(w,u,)。 


度 和 矩阵 D 为 对 角 抢 阵 ， 其 对 角 元 素 为 “ 度 ”: dg1 


dg82….,d8glol。 拉 普 拉 斯 矩阵 工 的 评估 方法 如 式 (15) 定义 : 
L=D-K (15) 
其 中 : K 是 |U|x|U| 的 核 矩 了 泗 ，K(wo, wj) 的 计算 方法 为 式 (11) 或 
者 式 (13)。 
算法 2 所 示 是 谱 聚 类 算法 的 伪 代 码 。 

算法 2 拉 普 拉 斯 谱 聚 类 算法 

输入 : 给 定 RIVI 中 的 kK 矩阵 。 

输出 : 矩阵 D 与 上 的 评估 结果 。 

1 计算 广义 特征 问题 Ly=ADy 的 前 两 个 特征 向 量 几 与 赂 , 其 中 人 表示 
特征 值 Xi,…， 和 Il 的 对 角 和 矩阵 。 

2 将 如 与 奶 两 个 特征 向 量 组 成 算 阵 VeRIv1'*?。 将 申 的 各 行 作为 映射 


空间 内 的 新 特征 向 量 。 


3 采 


2-means 聚 类 算法 对 特征 向 量 
3.4 恶意 用 户 类 的 自动 识别 
大 多 数 恶 意 用 


户 进 行 了 分 类 ， 下 一 个 任务 则 是 识别 恶意 用 广 
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行 处 理 ， 获 得 分 类 的 向 量 。 


户 均 会 表现 出 重复 日 


相关 的 行为 ， 而 合法 
` 重 复旦 多样 化 的 行为 。4.3 节 将 合法 用 


] 户 的 消息 序列 向 量 的 重复 性 高 、 多 样 性 


氏 ， 


昌 户 消息 序列 向 量 的 协 方差 矩阵 。 如 果 协 方差 


] 户 的 可 能 性 越 大 。 算 法 3 所 示 


用 户 则 一 般 表 现 出 
户 与 恶意 用 

攻击 类 型 。 

丸 为 恶意 | 

所 以 计算 类 内 月 
矩阵 越 小 ， 那 么 该 类 为 恶意 
是 恶意 用 户 的 选择 算法 。 
算法 3 恶意 用 户 类 的 选择 算法 


输入 : 分 类 后 的 向 量 C。 


输出 : 类 CG 与 C2 


的 类 型 。 


1 计算 类 Ci 与 C2 内 投影 消息 向 量 的 协 方差 矩阵 ; 
2if (〈 协 方差 矩阵 ==8) { 


3 ”该 类 为 恶意 


日 户 ; 


4} else { 


5 ”计算 协 方差 年 阵 的 特征 值 ; 


6 ”特征 值 最 高 的 类 为 恶意 用 户 。 


7} 


算法 4 所 示 是 DDoS 


智能 安全 系统 的 总 体 伪 代码 。 


算法 4 DDos 智能 安全 系统 的 总 体 伪 代码 


提取 OpenFlow 报 文 头 的 信息 


按照 2.2 节 建 立 向 量 模型 与 矩阵 模型 
if 〈 时 间 序 列 对 齐 核 ) { 
设置 权重 参数 y 与 p， 
计算 核 矩 阵 K， 即 V(w,u,)eUxU ， 可 得 Kg,r=K(Uq，uUr)。 
对 Kunnormed 进行 对 正则 化 处 理 ， 获得 K。 
} 
if (用 户 距离 核 ) { 
计算 核 矩 阵 K， 即 V(w,u,)eUxU ， 可 得 Kg,r=K(Uq，uUr)。 
} 
采用 拉 普 拉 斯 谱 聚 类 算法 (算法 2) 将 K 分 类 ， 获 得 结果 C。 
采用 算法 3 检测 C 的 恶意 用 户 。 
4 ”实验 结果 与 分 析 
4.1 实验 环境 与 实验 方法 


实验 环境 为 PC 机 : Intel Core i7-4770 处 理 器 ， 
E 频 ，8 GB 内 存 。 


3.4 GHz 
操作 系统 为 Linux Ubuntu 14.04， 交 换 机 


系统 为 Mininet Version 2.2.26，OpenFlow version 1.3。 在 实验 


室 搭建 了 实际 的 软件 定义 网 络 ， 如 图 


7 所 示 。 该 网 络 由 三 个 


控制 器 组 成 ， 每 个 控制 器 包含 一 个 POX 控制 层 、64 个 主机 
与 8 个 OpenFlow 交换 机 。 每 个 OpenFlow 连接 8 个 主机 , 组 


成 一 个 子 网 。POX 是 一 个 快速 
支持 各 种 平台 ， 医 
] MiniEdit 工 
换 机 (OVS) 作 为 网 络 交换 机 ，OVS 中 
网 络 接 议 。 采 用 
攻击 ,合法 流量 中 
生成 网 络 流量 ， 


和 
1 


的 轻 量 级 SDN 控制 层 ， 并 且 


此 实验 中 采用 了 POX 控制 层 。 


采 


建立 仿真 网 络 ， 采 用 Open Virtual 交 
已 经 实现 了 各 种 主流 的 


与 网 络 二 


Scapy 工具 产生 实际 的 flooding 


包含 随机 的 数据 流 。 基 于 Python 语言 编程 


鸭 源 地址， 


使 用 


0.0.0.1~10.0.0.64， 运 行 两 个 python 脚本 ， 


Python 的 “randrange” 函 数 生成 随机 
合法 流量 的 目标 PP 地 址 范围 为 
一 个 负责 生成 攻 


量 ， 另 一 个 负责 生成 合法 流量 。 


a 
南 六 和 
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OpenFlow 
交换 机 
< 攻击 流量 


OpenFlow 
3 
OpenFlow 
交换 机 被 攻击 目标 


SS 


图 7 实验 搭建 的 软件 定义 网 络 


Fig.7 Software defined network constructed in the experiment 


4.1.1 DDoS 安全 系统 的 性 能 评估 指标 4.2 实验 结果 与 性 能 分 析 
采样 精度 、 召 回 率 与 F-score 三 个 指标 评估 DDoS 安全 系 4.2.1 单 目标 攻击 实验 的 结 
统 的 性 能 ， 分 别 定义 为 寻 为 本 系统 采样 周期 对 检测 精度 存在 一 定 的 影响 ， 所 以 
精度 = 正确 检测 的 攻击 /所 有 检测 的 攻击 (16) ”本 文 考虑 了 三 个 采样 周期 ， 分 别 为 1s、3 s、5 s。 将 本 算法 


召回 率 = 正确 检测 的 攻击 / 样本 的 总 数量 (17) ”与 KNNDDI、VNDDUI 两 个 同类 型 DDoS 检测 系统 进行 横向 


F-score = 精度 * 召 回 率 *2/( 精 度 + 召 回 率 ) (18) ”比较 ， 综 合 地 评估 本 系统 的 性 能 。 每 组 实验 独立 地 运行 30 

4.1.2 测试 例 次 ， 将 30 次 实验 的 结果 作为 最 终 的 统计 结果 。 
为 了 测试 本 系统 对 DDoS 攻击 安全 性 ， 考 虑 了 两 个 实验 图 8 所 示 是 三 个 安全 系统 的 单 目标 攻击 实验 的 结果 。 从 
测试 例 。 第 一 个 测试 例 为 单 目标 攻击 实验 :在 一 个 主机 上 运 图 中 可 看 出 ， 本 系统 1 s 采样 周期 的 精度 、 召 回 率 与 F-score 


行 三 种 不 同 流量 比例 的 DDoS 攻击 ， 三 种 攻击 流量 比例 分 别 。” 均 低 于 KNNDD、VNDD 两 个 系统 ,而 本 系统 3s 与 5s 采 样 
为 10%、20%、30%; 第 二 个 测试 例 为 子 网 目标 攻击 的 实验 : 周期 的 性 能 则 有 具有 明显 的 优势 。 
在 一 个 子 网 中 运行 三 种 不 同比 例 的 DDoS 攻击 ， 三 种 攻击 流 1.2 
量 比例 分 别 为 10%、20%、30%。 DD 
4.1.3 仿真 参数 设置 10 上 | 由 | 本 系统 1 秒 
ss i Se 国 国 本 系统 3 秒 
表 1 所 示 是 实验 中 的 参数 设置 .因为 实验 中 共有 64 个 主 本 时 本 系统 5 秒 
机 , 所 以 本 系统 的 窗口 大 小 设 为 80。 根 据 预 处 理 实验 的 结果 ， val hl | 
本 实验 环境 下 寺 5、?=1、p-4、c=1 获得 了 较 好 的 检测 性 能 。 到 
表 1 测试 例 的 参数 设置 
Table 1 “ Parameters of test cases op 
参数 取 值 
及 文 类 型 UDP 人 精度 召回 率 F-score 
窗口 大 小 80 性 能 指标 
标 端 口 80 到 8 三 个 安全 系统 的 单 目标 攻击 实验 的 结果 
源 端口 2 Fig.8 Result of single target attack of three security Systems 
合法 流量 间隔 0.1 秒 4.2.2 子 网 目标 攻击 实验 的 结果 
攻击 流量 间隔 0.025 秒 本 文 考虑 了 三 个 采样 周期 ， 分 别 为 1 s、3 s、5 s。 将 本 
报 文 总 量 6500 算法 与 KNNDDI、VNDDOI 两 个 同类 型 DDoS 检测 系统 进行 
数据 内 容 随机 生成 横向 比较 ， 综 合 地 评估 本 系统 的 性 能 。 每 组 实验 独立 地 运行 
k 5 30 次 ， 将 30 次 实验 的 结果 作为 最 终 的 统计 结果 。 
1 1 图 9 所 示 是 三 个 安全 系统 的 子 网 目标 攻击 实验 的 结果 。 
pb 4 从 图 中 可 看 出 , 本 系统 1 s 采样 周期 的 精度 、 召 回 率 与 F-score 
c 1 均 低 于 KNNDD、VNDD 两 个 系统 ， 本 系统 3 s 采样 周期 的 
性 能 与 KNNDD 算法 接近 ， 而 系统 5s 采样 周期 的 性 能 表现 
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出 明显 的 优势 。 
1.2 
KNNDD 
VNDD 
国 本 系统 1 秒 
1 F 吉 汪 | 国 图 本 系统 3 秒 
下 国生 本 系统 5 秒 
T 
08 | ; 
0.6 上 
0.4 
精度 召回 率 F-score 
性 能 指标 
图 9 三 个 安全 系统 的 子 网 目标 攻击 实验 的 结果 


Fig.9 Result of sub-network target attack of three security systems 
4.2.3 安全 系统 的 计算 效率 
根据 算法 4 的 处 理 流程 ， 本 系统 主要 有 三 个 模块 组 成 ， 
分 别 为 计算 距离 核 、 计 算 时 间 序 列 对 齐 核 、 谱 聚 类 处 理 。 实 
验 中 分 别 统计 了 三 个 模块 的 平均 处 理 时间 , 如 图 10 所 示 。 从 
图 中 可 看 出 ， 三 个 不 同 的 采样 周期 下 ， 本 系统 的 处 理 时 间 较 
为 稳定 ， 总 时 间 约 为 3.5 s， 满 足 实时 检测 的 要 求 。 


6 
5 上 距离 核 时 间 

时 间 序 列 对 齐 核 
4 上 加 天 谱 聚 类 时 间 


处 理 时 间 ( 秒 ) 


1 各 3 秒 5 秒 
全 测 周期 


图 10 三 个 模块 的 平均 处 理 时 间 


Fig. 10 Average processing time of three models 
5 ”结束 语 


DDoS 攻击 的 出 现 往 往 伴随 着 流量 模式 的 剧烈 变化 ， 本 
系统 将 消息 流 特征 的 明显 变化 作为 一 个 潜在 的 DDoS 攻击 。 
本 系统 能 够 检测 出 DDoS 攻击 行为 并 识别 出 攻击 者 。 本 系统 
属于 无 监督 方法 ， 利 用 观察 的 消息 流量 类 型 与 数据 量 ， 并 不 
需要 额外 的 信息 。 基 于 真实 软件 定义 网 络 进行 了 实验 ， 结 果 
显示 该 安全 系统 实现 了 较 高 的 检测 准确 率 ， 并 且 实 现 了 理想 
的 处 理 时 间 。 未 来 将 考虑 在 实际 大 规模 软件 定义 网 络 中 进行 
实验 ， 评 估 本 系统 的 有 效 性 与 性 能 。 
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